米国政府が使用している.govドメイン、容易に取得可能
2019年12月2日 19:40
Anonymous Coward曰く、
米国連邦政府が使用している「.gov」ドメインは米政府および地方行政に関連する機関が使用しているが、これらの組織に成りすまして.govドメインを取得することは簡単にできてしまうという(KrebsOnSecurity、Slashdot)。
KrebsOnSecurityによると、ある研究者から、11月14日に「exeterri.gov」というドメインを取得することができたとこのドメインを使ったメールアドレスで報告があったという。
この研究者は、「.us」ドメインしか持たない米国の小さな町のサイトから公的機関の書簡用紙(公式レターヘッド)を入手。町の市長になりすまし、オンラインフォームに記入してメールで送信するだけで.govドメインを取得できたとしている。
.govドメインを取得するためには、管理者、技術担当者、請求担当者を記載した「承認フォーム」と、公式レターヘッドを使って文書を用意する必要がある。しかし、こうした自治体の公式レターヘッドを使った文書はネットにたくさん上がっており、ググるだけで簡単に偽造できたという。作成したものをメールまたはFAXで送信。その後、アカウント作成リンクをすべての連絡先に送信することでその町の名前を使った.govドメインを取得できたという。